RADIUS를 사용하여 Cisco Aironet에서 SSID 제한

10

내가하고 싶은 사용자별로 구성 SSID에 대한 액세스를 제한하려면 RADIUS 서버를 사용 .

위에 링크 된 문서에 따르면 테스트 사용자에게 다음 속성을 추가합니다.

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

따라서 디버그 반경 인증을 활성화 하면 다음을 볼 수 있습니다.

6 월 12 일 08 : 30 : 08.266 : RADIUS (00001A96) : 212.183.164.38:1812 id 1645/128, len 177로 액세스 요청 보내기
6 월 12 일 08 : 30 : 08.266 : RADIUS : 인증 자 CC C9 63 16 B0 62 74 52-A7 95 DF 1D 93 F3 08 37
6 월 12 일 08 : 30 : 08.267 : RADIUS : 사용자 이름 [1] 12 "ospite-5vh"
6 월 12 일 08 : 30 : 08.267 : RADIUS : Framed-MTU [12] 6 1400                      
6 월 12 일 08 : 30 : 08.267 : RADIUS : Called-Station-Id [30] 16 "8478.acf0.9002"
6 월 12 일 08 : 30 : 08.267 : RADIUS : Calling Station-Id [31] 16 "2064.3267.44ca"
6 월 12 일 08 : 30 : 08.267 : RADIUS : Cisco 공급 업체 [26] 29  
6 월 12 일 08 : 30 : 08.267 : RADIUS : Cisco AVpair [1] 23 "ssid = Interactive_Test"
6 월 12 일 08 : 30 : 08.267 : RADIUS : 서비스 유형 [6] 6 로그인 [1]
6 월 12 일 08 : 30 : 08.267 : RADIUS : Message-Authenticato [80] 18  
6 월 12 일 08 : 30 : 08.267 : 반경 : 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
6 월 12 일 08 : 30 : 08.267 : RADIUS : EAP-Message [79] 17  
6 월 12 일 08 : 30 : 08.267 : 반경 : 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
6 월 12 일 08 : 30 : 08.267 : RADIUS : NAS-Port-Type [61] 6 802.11 무선 [19]
6 월 12 일 08 : 30 : 08.267 : RADIUS : NAS-Port [5] 6 7037                      
6 월 12 일 08 : 30 : 08.268 : RADIUS : NAS-Port-Id [87] 6 "7037"
6 월 12 일 08 : 30 : 08.268 : RADIUS : NAS-IP- 주소 [4] 6 10.132.0.253              
6 월 12 일 08 : 30 : 08.268 : RADIUS : Nas- 식별자 [32] 13 "UFFICIO-AP1"
6 월 12 일 08 : 30 : 08.325 : RADIUS : id 1645/128 212.183.164.38:1812, Access-Challenge, len 95에서 받음
6 월 12 일 08 : 30 : 08.325 : RADIUS : 인증 자 8A C9 30 9B 1B 13 20 91-4C D6 FE B3 2A 1E F7 85
6 월 12 일 08 : 30 : 08.325 : RADIUS : 공급 업체, Cisco [26] 31  
6 월 12 일 08 : 30 : 08.325 : RADIUS : Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
6 월 12 일 08 : 30 : 08.325 : RADIUS : EAP-Message [79] 8   
6 월 12 일 08 : 30 : 08.325 : RADIUS : 01 02 00 06 19 20 [????? ]
6 월 12 일 08 : 30 : 08.325 : RADIUS : Message-Authenticato [80] 18  
6 월 12 일 08 : 30 : 08.325 : 반경 : 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? g ~ qZ? S? v. ??]
6 월 12 일 08 : 30 : 08.326 : RADIUS : State [24] 18  
6 월 12 일 08 : 30 : 08.326 : 반경 : 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
6 월 12 일 08 : 30 : 08.326 : RADIUS (00001A96) : id 1645/128에서 수신

따라서 "association SSID"가 RADIUS와 일치하지 않기 때문에 요청이 거부 될 것으로 예상됩니다. 대신 승인되고 사용자가 연결됩니다.

관련 구성은 다음과 같습니다.

aaa 인증 로그인 기본 그룹 반경
aaa 인증 로그인 eap_methods 그룹 반경
aaa 인증 네트워크 기본값 (인증 된 경우) 
aaa 회계 중첩
aaa 회계 업데이트주기 5
aaa 회계 네트워크 eap_methods 시작-중지 그룹 반경
!
dot11 ssid 인터랙티브
   블란 1
   인증 오픈 
   인증 키 관리 WPA
   mbssid 게스트 모드
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   블란 4
   인증 오픈 
   인증 키 관리 WPA
   mbssid 게스트 모드
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   블란 5
   인증 공개 eap eap_methods 
   인증 네트워크 -eap eap_methods 
   인증 키 관리 WPA 버전 2
   회계 eap_methods
   mbssid 게스트 모드
!
Dot11Radio0 인터페이스
 IP 주소가 없습니다
 IP 경로 캐시 없음
 암호화 VLAN 4 모드 암호 AES-CCM TKIP 
 암호화 VLAN 1 모드 암호 AES-CCM TKIP 
 암호화 VLAN 5 모드 암호 AES-CCM TKIP 
 ssid 인터랙티브
 ssid Interactive_Ospiti
 ssid Interactive_Test
 안테나 게인 0
 mbssid
 짧은 슬롯 타임 없음
 속도 기본 -1.0 기본 -2.0 기본 -5.5 기본 -11.0
 채널 2457
 역 역할 루트
!
Dot11Radio0.1 인터페이스
 설명 LAN 인터랙티브
 캡슐화 dot1Q 1 기본
 IP 경로 캐시 없음
 브릿지 그룹 1
 브리지 그룹 1 가입자 루프 제어
 브리지 그룹 1 블록-알 수없는 소스
 브리지 그룹 1 소스 학습 없음
 브리지 그룹 1 유니 캐스트 플로팅 없음
 브리지 그룹 1 스패닝 비활성화
!
Dot11Radio0.4 인터페이스
 설명 LAN Ospiti
 캡슐화 dot1Q 4
 IP 경로 캐시 없음
 다리 그룹 4
 브리지 그룹 4 가입자 루프 제어
 브리지 그룹 4 알 수없는 소스
 브리지 그룹 4 소스 학습 없음
 브리지 그룹 4 유니 캐스트 플로팅 없음
 브리지 그룹 4 스패닝 비활성화
!
Dot11Radio0.5 인터페이스
 설명 LAN 테스트
 캡슐화 dot1Q 5
 IP 경로 캐시 없음
 다리 그룹 5
 브리지 그룹 5 가입자 루프 제어
 브리지 그룹 5 알 수없는 출처
 브리지 그룹 5 소스 학습 없음
 브리지 그룹 5가없는 유니 캐스트 홍수
 브리지 그룹 5 스패닝 비활성화
!
반경 서버 속성 32 포함 액세스 요구 형식 % h
반경 서버 속성 4 10.132.0.253
반경 서버 호스트 10.132.0.99 auth-port 1812 acct-port 1813 비표준 키 7 131312061E3811242A142A7C79
반경 서버 vsa 계정 보내기
반경 서버 vsa 전송 인증

그리고 여기 # show versione의 결과가 있습니다

Cisco IOS 소프트웨어, C1040 소프트웨어 (C1140-K9W7-M), 버전 12.4 (25d) JA1, RELEASE 소프트웨어 (fc1)
기술 지원 : http://www.cisco.com/techsupport
Cisco Systems, Inc.의 저작권 (c) 1986-2011
prod_rel_team에 의해 Thu 11-Aug-11 02:58 편집

ROM : 부트 스트랩 프로그램은 C1040 부트 로더입니다
BOOTLDR : C1040 부트 로더 (C1140-BOOT-M) 버전 12.4 (23c) JA3, RELEASE SOFTWARE (fc1)

UFFICIO-AP1 가동 시간은 8 주, 2 일, 8 시간, 27 분입니다.
전원을 켜면 시스템이 ROM으로 돌아옴
22:39:10 UTC에 시스템이 다시 시작되었습니다 2013 년 4 월 16 일 화요일
시스템 이미지 파일은 "flash : /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"입니다.

누구든지 도울 수 있습니까?

cisco  wireless  aironet  radius 
마르코 마르 제티
소스
2
ACS 또는 다른 RADIUS 서버를 사용하고 있습니까?
Dave Noonan 2016 년
MySQL 백엔드와 함께 FreeRADIUS를 사용하고 있습니다
Marco Marzetti
@MarcoMarzetti, 당신 non-standardradius-server host라인에 추가 하고 이것이 당신이 얻는 결과를 변경하는지 알려 주시겠습니까? key 7이 작업을 수행 하려면 명령문을 다른 행에 넣어야 할 수도 있습니다 .
Mike Pennington 2016 년
@MikePennington은 완료했지만 아무것도 변경되지 않았습니다. BTW 값을 "SSID = Interactive_Ospiti"로 변경하면이 오류가 발생 parse unknown cisco vsa "SSID" - IGNORE합니다. 따라서 IOS는 속성을 이해하고 구문 분석하려고 시도합니다.
Marco Marzetti
당신의 설정은 interface Dot11Radio무엇입니까?
generalnetworkerror

답변:

1

freeradius 설정에서 연산자를 "= ~"로 변경하십시오.

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"

산티노
소스
"= ~"이 비교를위한 것이고 과제를 원하기 때문에 이것이 도움이 될 것이라고 생각하지 마십시오. SSID 확인은 FreeRADIUS가 아닌 IOS에서 수행해야합니다.
Marco Marzetti
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.